Ny ISO 27002 – hvad betyder det for din ISAE 3402-erklæring?
ISO 27002 er på vej med nye opdateringer, otte år efter den nuværende standard blev udgivet. Den nye ISO 27002 standard indeholder ændringer ift. struktur, nye og ændrede foranstaltninger, supplerende annekser mm.
Vores kunder, som følger ISO 27002:2013 i den underliggende struktur for afgivelse af ISAE 3402 erklæringer, bør overveje hvorvidt de vil implementere den nye standard, og i så fald også hvornår. Der er ikke et revisionsmæssigt formkrav, om at virksomheden følger den nyeste version af standarden. Det vigtigste er, at der er en sammenhæng mellem de processer virksomheden har og de sæt sikkerhedsforanstaltninger standarden kræver. For nogle ville det give god mening at benytte den nye ISO 27002 imens det muligvis kræver en større tilpasning for andre organisationer, der benytter 2007 eller 2013 udgaven. Kravet om et skift kan også være motiveret via vores kunders kunder. Kravet vil under alle omstændigheder ikke komme fra os som revisorer.
Ny ISO 27002 kommer med en helt ny struktur
Den forrige udgave fra 2013 er opdelt i 14 kapitler (kontrolmål) med i alt 114 foranstaltninger. Eller kontroller, som det også hedder. Den nye ISO 27002 standard får en noget anden struktur, hvor den er opdelt i fire hovedtemaer: Organisatorisk, adfærdsmæssig, fysisk og teknologisk. Antallet af foranstaltninger – eller kontroller – bliver endvidere reduceret ned til 93 fra 114. Det skyldes bl.a. sammenlægning af forbundne foranstaltninger.
Organisatoriske foranstaltninger dækker bl.a. politikker, regler, processer, procedurer, vejledninger, logs, referater, rapporter, testresultater, målinger, evaluering mv.
Adfærdsmæssige foranstaltninger dækker bl.a. kapitlet om personalesikkerhed, med tilføjelse af bl.a. hjemmearbejdspladser.
Fysiske foranstaltninger er en sammenblanding af kontrollerne fra kapitel 8 og 11, om hhv. sikring af aktiver, og fysisk sikring og miljøsikring.
Teknologiske foranstaltninger dækker alle tekniske tiltag, såsom styring af adgange, logning, back-up, kryptering, samt en række nye foranstaltninger.
De nye foranstaltninger vi kommer til at se i den nye ISO standard er:
5.7 Threat intelligence 5.17 Authentication information 5.21 Managing information security in the ICT supply chain 5.23 Information security for use of cloud services 5.30 ICT readiness for business continuity 6.7 Remote working 7.10 Storage media 8.1 User endpoint devices |
8.10 Information deletion |
De kontroller der udgår er:
5.1.2 Review of the policies for information security |
12.4.2 Protection of log information |
Leverandørstyring og cybersikkerhed er de to områder hvor den nye standard er blevet stærkere og bedre tilpasset de udfordringer man står overfor i 2022. Det nye framework er mere tidssvarende ift. nutidens risikobillede, f.eks. med øget brug af cloud-leverandører. Det betyder dog ikke nødvendigvis, at de virksomheder der benytter de gamle versioner af standarden mangler passende sikkerhedsforanstaltninger eftersom det altid har været muligt at supplere ISO 27002 med andre frameworks, som f.eks. NIST, CIS18, eller lignende, for at sikre fornuftig afdækning af cybersikkerhed.
Her nedenunder kan du se en tabel, hvor vi sammenligner ISO 27002 standarderne fra hhv. 2013 og 2021.
I forbindelse med tilblivelsen af den nye standard har vi været repræsenteret i det internationale ISO-board via Dansk Standard. Kontakt os gerne ved spørgsmål.